IAB TCF 2.0: Datenschutzkonformer Einsatz von Cookies

Seit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) im Jahr 2018 und auch mit der kommenden E-Privacy-Verordnung sind Anbieter von Webseiten dazu verpflichtet, die Einwilligung des Besuchers einzuholen: Nur dann dürfen Cookies gesetzt werden, die u.a. das Surfverhalten des Users überwachen und analysieren. Nutzer der Website haben das Recht, zu erfahren, für welche Zwecke Cookies gesetzt und wofür die erhobenen Daten verwendet werden. Des Weiteren muss dem User die Möglichkeit gegeben werden, in einem Opt-in-Verfahren das Verwenden von Cookies abzulehnen. Hierzu haben sich in den vergangenen Jahren Lösungen und Frameworks etabliert, die genau diesen Funktionsumfang bieten: die Abfrage der Zustimmung der Cookies-Nutzung inklusive Verwaltung und Dokumentation. Zu diesem Zweck wurden sogenannte Consent Management Provider (CMP) gegründet, die entsprechende Plattformen und Lösungen für den Website-Betreiber anbieten. Doch wer braucht eigentlich CMPs, was leisten die Tools, welche Unterschiede gibt es – und was hat das Interactive Advertising Bureau (IAB) damit zu tun? Dies und mehr erfahren Sie in diesem Beitrag.

Consentlösung für IAB und TCF Standard

Was leistet ein Consent Management Provider?

Der international tätige Wirtschaftsverband der Online-Werbebranche IAB hat im Jahr 2018 das Transparency and Consent Framework (TCF) entwickelt und veröffentlicht. Es hat zum Ziel, das Einholen der Cookies-Einwilligung zu standardisieren und dabei die Informationen über Nutzer-Einwilligungen entlang der Ausspielwege digitaler Werbung mitzuliefern. Mittlerweile sind heute eine große Anzahl an Werbetechnologie-Provider an der Online-Verbreitung eines Werbemittels beteiligt. Schauen Sie einmal mit entsprechenden Tools, wie viele Cookies gleichzeitig von vielen Werbepartnern beispielsweise auf den Websites großer Verlagshäuser gesetzt werden. Sie alle brauchen die Informationen darüber, ob eine Einwilligung vorliegt oder der Einsatz von Cookies abgelehnt wurde.

Genau diese Lösung bieten Consent Management Provider wie Consentmanager mit ihren Tools. Damit holen Werbetreibende und Betreiber von Onlineshops die Genehmigung der User ein, ob ihre Nutzungsdaten mittels Cookies gespeichert und weiterverarbeitet werden dürfen. Pop-up-Fenster und Banner dieser Art mit dem Hinweis, dass Daten erhoben werden können, sind heute im Web allgegenwärtig. Es werden Schaltflächen und/oder Auswahlmöglichkeiten angeboten, mit denen die User den Nutzungsbedingungen zustimmen – oder eben nicht. Hier sorgt ein CMP für ein datenschutzkonformes und juristisch einwandfreies Management der Einverständniserklärungen und darüber hinaus für den Datenabgleich mit weiteren Werbepartnern.

Consent Management Provider, die auf dem Transparency and Consent Framework (IAB TCF) des Interactive Advertising Bureau beruhen, ermitteln, welchen Nutzungszwecken und Werbepartnern der User im Einzelnen zugestimmt hat. Aus diesen Daten wird ein Consent-String erstellt und in einem Browser-Cookie gespeichert. Dadurch können andere CMP wiederum auslesen, ob der User bereits eine Einwilligung erteilt hat.

Jedes Online-Business-Unternehmen, das europäische User erreichen möchte und darüber Nutzerdaten erhebt, benötigt ein solches Consent-Management-Tool wie consentmanager. Dadurch kann er Analyse-Werkzeuge oder Social-Media-Widgets nutzen und Retargeting-Zwecke verfolgen. Um ein echtes Opt-in, also eine aktiv abgegebene Nutzereinwilligung für die Cookie-Nutzung, kommen Sie nicht herum. IAB TCF 2.0 bietet hierfür die notwendige Unterstützung.

Historie des IAB TCF 2.0

Das Interactive Advertising Bureau ist eine Non-Profit-Organisation mit Sitz in New York und wurde bereits 1996 gegründet. Es handelt sich um einen weltweit aktiven Wirtschaftsverband der Online-Werbebranche. Die Vereinigung vertritt laut Eigendarstellung die Interessen des Online-Business, indem es für Standardisierungen und Normungen beim Austausch werberelevanter Daten sorgt. Dadurch dient das IAB der Optimierung der Nutzung von Online-Werbekanälen für die Werbeindustrie. Derzeit sind über 40 internationale Sub-Organisationen im IAB organisiert. In Deutschland wird das IAB durch den Online Vermarkter Kreis (OVK) vertreten.

Wie eingangs erwähnt, hat die IAB-Organisation das Transparency and Consent Framework (IAB TCF) herausgegeben, das mittlerweile in der Version TCF 2.0 weiterentwickelt wurde. Das IAB TCF 2.0 versteht den Begriff des Consent Management Providers als eine Plattform, mit deren Unterstützung werbetreibende Unternehmen die datenschutzkonforme Transparenz sowie Widersprüche und Einwilligungen der Endnutzer zentralisiert und managt.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Die drei Parteien im IAB TCF/TCF 2.0

Bei der Nutzung des IAB-TCF-Frameworks treten drei Teilnehmer miteinander in Interaktion: Publisher, Anbieter (Vendoren) und der Consent Management Provider (CMP). Der Publisher ist der eigentliche Webanbieter und somit die erste Anlaufstelle, womit der Nutzer in Kontakt tritt. Publisher veröffentlichen Informationen (z. B. Medienhäuser, Verlage usw.) und finanzieren ihre Arbeit zum Teil oder vollständig aus Werbung Dritter. Dies wird üblicherweise mittels eines Werbenetzwerks umgesetzt, welches relevante Werbeanzeigen an die Webseiten-Besucher ausspielt. Im Umfeld des IAB-TCF bzw. TCF 2.0 werden Werbetreibende und -netzwerke als Anbieter definiert.

Anbieter oder Vendoren sind besagte Werbetreibende, mit denen der Publisher eine Kooperation eingegangen ist. Die Anbieter zeigen werbende Inhalte auf den Webpages des Publishers an und setzen Cookies im Browser des Webseiten-Besuchers. Dadurch können Anbieter zielgruppenrelevante Anzeigen in Form von personalisierter Werbung schalten.

Der Consent Management Provider (CMP) stellt die Technologie zur Verfügung, die dafür sorgt, dass die Zustimmung des Nutzers zur Speicherung und Weiterverarbeitung von personalisierten Daten eingeholt wird. Im IAB-TCF-Framework werden die einzelnen Zustimmungseinstellungen der jeweiligen Endnutzer an die Anbieter übermittelt, die auf der aktuellen Website aktiv tätig sind.

Funktionsweise des IAB-TCF-Frameworks

Das IAB-Framework TCF 2.0 fungiert in der Praxis als ein Kommunikationssystem, welches Einverständniserklärungen der Nutzer zwischen dem Publisher, den Dritt-Parteien als Anbieter und dem auf der Website des Publishers verwendeten CMPs vermittelt. In der Anwendung, das auf dem IAB-Framework aufbaut (z. B. Consentmanager) wählt der Publisher seine bevorzugten Anbieter aus, die sich im Framework angemeldet haben. Diese erscheinen in der sogenannten Global Vendor List (GVL). Um am IAB TCF teilzunehmen, muss der werbetreibende Anbieter eine Reihe von Bedingungen akzeptieren, etwa die Aktualisierung des Codes. Damit gewährleistet der Anbieter, dass Cookies nur dann gesetzt werden, wenn ein Zustimmungssignal von einem Consent Management Provider (CMP) vorliegt oder eine anderweitige Rechtsgrundlage zum Setzen eines Cookies berechtigt. Weiterhin sollen keine personenbezogenen Daten genutzt werden dürfen, die auf einer Zustimmung beruhen, bis ein Zustimmungssignal von einem beteiligten CMP eintrifft. Mit diesem Vorgehen ist gesichert, dass in der Global Vendor List nur „Whiltelist“-Anbieter in Erscheinung treten, die sich an die Spielregeln des IAB TCF halten.

Sobald sich ein Publisher im TCF 2.0 anmeldet, wählt er die vertrauenswürdigen Anbieter aus der GVL aus, mit denen er kooperieren möchte.

Der Zustimmungsstatus eines Benutzers wird in Form eines Publisher-Cookies (Erstpartei) abgelegt und danach in der Informationskette der werbetreibenden Anbieter im IAB TCF freigegeben. Nachdem der Webseiten-Besucher seine Auswahl von Zustimmungen getroffen hat, haben die kooperierenden Werbeanbieter Zugriff auf die Verarbeitung der Userdaten für ihre relevanten und durch den User legitimierten Zwecke.

Ziele des IAB TCF und Neuerungen im TCF 2.0

Das im Jahr 2020 erschienene Upgrade TCF 2.0 ist eine überarbeitete Version mit neuen Features und einer Reihe von Anpassungen an die aktuellen gesetzlichen Rahmenbedingungen der EU-DSGVO. Zuvor wurde das „GDPR Transparency and Consent Framework“ in der Version 1.1 im März 2018 im zeitlichen Umfeld des Inkrafttretens der Datenschutzgrundverordnung veröffentlicht. Das TCF bietet eine standardisierte Software-Plattform für die Onlineabfrage und Übermittlung der Nutzergenehmigung für das Ausspielen personalisierter Werbung und dem damit verbundenen Setzen von Cookies. Die entsprechenden Daten werden zwischen Verlagen, Publishern, Werbetreibenden und deren Technologiepartnern ausgetauscht.

Sinn und Zweck des Frameworks ist es, Standards zu schaffen, mit denen Agenturen, Werbekunden und AdTech-Anbieter auch im Geltungsbereich der Datenschutzgrundverordnung programmatische Online-Werbung verbreiten können, ohne dabei gegen die rechtlichen Rahmenbedingungen zu verstoßen. Wer auf einer Website personenbezogene Daten sammeln und für Werbezwecke analysieren möchte, muss die Besucher der Website nicht nur über die Nutzung der erhobenen Daten informieren, sondern darüber hinaus auch die Einwilligung für die Nutzung der Daten einholen.

Mit der neuen TCF 2.0 erhalten Publisher mehr Flexibilität und Kontrolle bei der Integration und Kooperation mit Technologiepartnern. Eine neue Publisher-Funktionalität ermöglicht es, einzelne Zwecke, für welche personenbezogene Daten verarbeitet werden, pro Anbieter einzuschränken. Website-Besucher wiederum erhalten mit TCF 2.0 die Möglichkeit, Einwilligungen detailliert zu erteilen oder auch abzulehnen sowie vom Widerspruchsrecht gegen die Weiterverarbeitung ihrer persönlichen Daten Gebrauch zu machen. Detaillierte Einwilligungen kann der Nutzer darüber erteilen, in welcher Form der Anbieter bestimmte Funktionen der Datenverarbeitung nutzen darf, etwa beim Einholen genauer Geolokalisierungsdaten.

Nicht sicher ob Sie ein CMP brauchen?


Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden!


TCF 2.0 setzt einen verstärkten Fokus auf legitime Interessen. So können sich Vendoren für einzelne Verwendungszwecke auf ihr legitimes Interesse berufen, der Nutzer erhält aber dennoch die Möglichkeit, diesem zu widersprechen. Des Weiteren wurde die Anzahl der möglichen Verwendungszwecke (Purposes) für die Nutzung und Analyse von Trackingdaten von fünf auf zehn erhöht. Zwei davon sind sogenannte Special Purposes – hierbei handelt es sich um Verwendungszwecke, die der Sicherheit der Website dienen und denen der Nutzer deshalb nicht widersprechen kann. Einzelne Special Features erfordern ab TCF 2.0 einen eigenen Opt-in, etwa auch hier beim Ermitteln und Verarbeiten von Geolokalisierungsdaten. Und in Zeiten von „Mobile First“ besonders wichtig: TCF 2.0 enthält konkrete Informationen über die genormte Speicherung von Cookies innerhalb von Smartphone-Apps.

Für wen ist der Einsatz eines Consent Management Providers sinnvoll?

Cookies-basierte Werbeformen sind insbesondere für Verlagshäuser relevant, die z.B. ihre journalistischen Inhalte mit Online-Werbung finanzieren müssen. Aber auch Branchenportaleoder Magazin-Websites können aus dem TCF 2.0 und den Diensten eines Consent Management Providers Nutzen ziehen. Kurz: alle Publisher, die in irgendeiner Form von Werbung leben.

Ebenso sinnvoll ist der Einsatz eines CMPs z.B. bei Onlineshops, privaten Websites oder Serviceprovidern wie etwa Zahlungsdienstleistern. Denn auch dort werden meist Cookies gesetzt, es können Nutzeranalysen durchgeführt werden und es müssen rechtswirksame Nutzereinwilligungen eingeholt werden.

Bleiben Sie auf dem Laufenden!

Newsletter abonnieren

So setzt Consentmanager TCF 2.0 DSGVO-konform um

Consentmanager basiert auf dem IAB TCF 2.0. Das consentmanager-Team arbeitet aktiv in der TCF-2.0-Entwicklergruppe des IAB mit und hat wesentlich an den Spezifikationen für TCF 2.0 mitgearbeitet. Somit steht consentmanager bei allen Weiterentwicklungen und Modifikationen der technischen Daten an erster Stelle.

Mit einem kostenlosen Account können Sie den consentmanager sofort ausprobieren und in Ihre Website einbinden. Das System unterstützt alle gängigen CMS-Systeme. Das System ist sehr einfach zu bedienen. Sofort nach der Registrierung können Sie bereits die URL Ihrer Website eingeben und aus vertrauenswürdigen Anbietern der GVL-Liste auswählen. Des Weiteren können Sie mit wenigen Mausklicks die optische Gestaltung der Einwilligungserklärung für Cookies und Tracking-Verfahren vornehmen.

Relevante DSGVO-Anforderungen für TCF 2.0

In der EU-Datenschutzgrundverordnung sind strikte Anforderungen festgelegt, wie personenbezogene Daten gespeichert und weiterverarbeitet werden dürfen. Damit Ihr Einwilligungsmanagement den gesetzlichen Vorgaben entspricht, muss es den Webuser darüber informieren, welche Daten zu welchem Zweck verarbeitet werden. Des Weiteren muss der Nutzer eine Auswahl-Option erhalten – er darf für die Nutzung der Website nicht dazu gezwungen werden, Cookies zu akzeptieren. Die Einwilligung zur Datenverarbeitung muss durch eine eindeutige Handlung erteilt werden – und zwar noch bevor die erste Datenverarbeitung stattfindet bzw. der erste Cookie gesetzt wird. Darüber hinaus ist es zwingend erforderlich, dass der Nutzer die Möglichkeit erhält, eine einmal erteilte Einwilligung auch widerrufen zu können.

Häufig gestellte Fragen (FAQ)

Jein. Es müssen Buttons zum Akzeptieren, Ablehnen oder Einstellen angboten werden, aber es muss keine Detailauswahl direkt auf den ersten Blick ermöglicht werden. Im ersten Layer müssen lediglich die Datenverarbeitungszwecke der Drittanbieter (Purposes) angezeigt werden. Aktuell besteht keine Verpflichtung für CMPs, bereits an dieser Stelle granulare Wahlmöglichkeiten anzubieten. Der Publisher kann dies aber dennoch über den CMP anbieten und ggf. Anpassungen vornehmen, falls eine Gesetzesänderung dies erfordert.

Nein. Der Gesetzgeber unterscheidet zwischen technisch notwendigen Cookies und solchen, die aus wirtschaftlichen Erwägungen gesetzt werden, etwa zu Affiliate-Zwecken, Tracking-Cookies oder Analysetools. Nur Letztere erfordern zwingend die Einwilligung (oder ggf. Ablehnung) seitens des Nutzers. Technisch notwendige Cookies dagegen dienen der einwandfreien Funktion einer Website, z. B. dem Warenkorb eines Onlineshops. Diese sind nicht einwilligungspflichtig.

In Bezug auf das Strafmaß legt die Datenschutzgrundverordnung klare Richtlinien fest. So werden bei Nichteinhalten der DSGVO Geldstrafen nach folgenden Regeln festgesetzt: entweder 4 Prozent des globalen Jahresumsatzes des Unternehmens oder aber pauschal bis zu 20 Millionen Euro – abhängig davon, welcher Betrag höher ist. Mit Consentmanager sind Sie stets auf der sicheren Seite.

CMP

Nicht sicher ob Sie ein CMP brauchen?

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden!

In Kontakt treten